优秀案例 |大型综合证券公司的零信任安全实践
日期:2022年11月22日 阅:12
导语
证券行业作为国家金融活动的重要入口,汇聚了大量的金融数据,其数据安全和信息保护一直备受关注,此前监管层已经接连出台十几部相关政策法规。今年以来,继《金融标准化“十四五”发展规划》后,证监会又起草了《证券期货业网络安全管理办法(征求意见稿)》,升级证券期货业的数据安全监管。
本篇案例中的客户是一家全国性大型综合证券公司,其长期将加强信息技术革新、保护信息系统安全作为重中之重。近来,面对云计算、边缘计算等技术发展带来的网络泛化和常态化疫情带来的混合办公冲击,客户希望构建一整套适合新形势的领先的企业安全解决方案,不但落地访问安全能力,更进一步通过技术创新将系统安全能力提升至数据安全级别。
作为一家面向数据安全的基础架构创新公司,数篷科技以技术提供方身份全程参与了客户零信任数据安全保护系统的设计与实施,帮助其实现了终端数据保护、权限管理、安全传输等需求。
客户需求
在企业内部安全建设上,客户此前已部署终端安全管理软件与数据防泄露软件,通过审计终端设备中的软件使用情况及涉密文件流转信息来保证内部安全。
不过,客户内部业务系统繁杂,当员工既要浏览内部数据办公又要访问互联网处理业务时,这套解决方案很难在不干扰员工正常工作的情况下制定明晰的网络访问规则,并且这类传统的安全软件无法准确识别视频、语音等非结构化敏感数据,这导致越权访问业务系统、敏感信息泄露等风险事件频发。
随着业务增加、员工人数增多,日常业务数据传输量越来越大,客户面临的终端数据安全问题更加突出。具体体现在以下几个方面:
终端数据保护
研发场景
客户提供的对外和对内应用系统均由其研发部门开发。当前,客户所有研发人员的代码、脚本、UI设计等内容均保存在开发终端中,一旦终端被植入木马或者研发人员操作不规范,极易造成敏感信息泄露。客户想要在不影响研发办公效率的前提下通过提升终端安全能力解决核心代码泄露问题。
交易场景
客户企业内部存在各种各样的证券交易软件,当前这些软件直接安装在员工的终端设备中,产生的数据也直接存储到用户电脑本地。由于交易软件使用过程产生的数据涉及大量敏感信息及用户数据,这些信息一旦泄露,企业可能面临严峻的监管处罚。
权限管理
营业部场景
客户在全国范围内拥有300多家营业网点,所有营业部均通过专线与总部数据中心连通,这里存在的隐患是所有营业部内的终端都具有相同的网络权限,任意员工使用营业部的终端都可以访问总部的数据中心资源,同时客户无法对营业部办公产生的本地数据操作做到留痕与审计。客户希望针对同一营业部不同岗位和职责的员工划分更细粒度的访问权限,并且针对营业部内部的本地数据做到可审计,保证发生风险事件时可以及时响应和溯源。
安全传输
开户场景
通常,新用户在注册后需要提交验证视频至开户系统后台,而见证中心需要24小时远程在线为开户用户提供人工审核。不过,远程审核流程极易因人为和终端环境因素造成审核视频外泄,客户希望在确保远程访问链路安全的同时保证审核数据的安全。
子公司申报场景
客户下属多家子公司,所有子公司需要定期向总部申报相关数据。当前,子公司通过专用申报电脑和租用专线的方式与总部申报系统互联访问。考虑到疫情和成本因素,原有“专机专线”方案无法实现敏感数据共享,客户需要一种更加灵活、安全、低成本的解决方案来满足子公司的需求。
方案设计
经过分析,数篷科技将客户的需求归纳为企业内部数据安全可控和远程办公灵活访问,主要包括:
1、办公数据与个人环境隔离,确保工作中产生的数据不会通过个人环境外泄;
2、敏感数据防护,系统在员工浏览敏感数据时根据用户身份自动添加水印,在数据外发时可溯源审计;
3、权限管理,为不同部门不同角色的用户赋予不同的权限,避免因权限不清晰造成越权访问等风险;
4、远程办公访问,为在家或出差的员工提供安全加密的访问隧道。
为此,数篷科技建议客户在办公网络和测试网络分别部署DataCloak®零信任数据安全平台。此平台结合零信任架构和可信计算技术为企业构筑虚拟的、动态的、智慧的、弹性的安全工作空间,通过软件定义的方式将客户的网络边界扩展到终端和用户,支持员工随时随地访问企业内网和核心数据,并保护其不被二次转发和泄露。
效果与价值
部署DataCloak® 零信任数据安全平台后,客户在不改变员工工作习惯的情况下,管控企业数据的网络流通范围,实现了敏感数据在客户内部网络与终端环境间的安全流动。同时,这种软件定义边界的方式,不仅使企业数据只能落入终端企业环境,与个人环境形成深度隔离,而且实现企业内部数据的分级分类—同一安全等级的安全域间数据可安全流转,不同安全等级的安全域间的数据流动也符合信息安全要求。
具体而言,数篷科技给客户带来以下几方面的价值:
1、敏感数据加密防护,只可用不可拿
企业员工使用DACS客户端在安全域内办公,办公时产生的所有敏感数据自动加密存储。在未经外发审批的情况下,员工只能在安全域内访问和编辑数据,不能将数据以复制、剪切、U盘等任何方式带出安全域。同时,客户可根据实际需求在敏感信息上注入自定义水印,防止敏感信息以截图、拍照等方式外泄,真正实现数据可用不可拿。
以研发人员为例,工作中产生的代码文件及设计图纸要么存储在虚拟加密磁盘,要么通过安全域内的加密隧道发送至工程软件后台,这可有效避免核心工程文件及代码的泄露。
2、基于身份划权限,实现敏感数据精确访问
依托零信任数据安全平台,客户为300多家营业厅的所有员工配置对应的访问权限,以身份为核心规范各营业厅业务的办理流程,实现了不同人员使用同一台终端办公可以访问不同的业务,落实敏感数据的精确访问控制,从网络层面避免了因权限问题导致的安全风险。
3、远程访问安全高效,数据随时随地放心用
子公司员工及总部出差人员在分公司、酒店、咖啡厅等任意位置登录DACS客户端账号,即可访问部署于企业内网的应用与服务。相比传统的VPN,DACS不仅能够实现访问通路安全,还可确保所访问的资源随时处于安全可靠的环境,这极大提升员工的工作效率。
4、外发审批处处留痕,数据流转审计有迹循
当涉及协同办公时,办公数据在DACS客户端内以共享的方式实现安全流转。若发送者与接收者属于同一安全等级的安全域,员工可直接把文件发给同事,若接收者属于更高安全等级的安全域,文件可以通过审批方式完成流转。若员工需要把文件带出安全域外,同样可以通过提交外发申请完成。针对所有数据流转的动作,数篷科技零信任平台后台均会记录关联操作。
如今,基于数篷科技零信任数据安全平台,客户不仅解决了终端数据保护、权限管理及安全传输等难题,还实现了业务安全和办公体验之间的平衡。这对于客户建立、完善数据应用合规管理体系,提升其在数字时代的合规管理水平和风险应对能力,实现数据资源真正向数据红利转化以及推动证券行业高质量发展均具有重要意义。
数篷科技是数据安全技术创新公司,为企业提供符合零信任架构标准的下一代解决方案,产品被证券、保险、银行、电商、高端制造、游戏、互联网等众多行业客户采纳,获得客户高度评价。数篷科技核心成员来自百度、腾讯、谷歌、SAP等全球知名企业,具有基础架构、前沿安全技术和企业服务的丰富经验。 数篷科技现已推出DACS(零信任终端安全工作空间)与DAAG(零信任应用访问网关)两款产品,企业可以根据自身的信息化水平、现有网络框架、对数据安全等级要求等因素来选择匹配的产品。